Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Template injection támadások az amerikai kritikus infrastruktúrák ellen?

Facebook Tumblr Tweet Pinterest Tetszik
0
2017. július 15. - icscybersec

A Cisco Talos kutatócsoportja nemrég egy olyan támadás-sorozatról számolt be ahol a célpontok az amerikai kritikus infrastruktúrához tartozó szervezetek voltak, a támadási módszert pedig template-injection-ként ismeri a szakma. A hírek szerint több gyárat, nukleáris erőművet és más villamosenergia-ipari céget is érintettek a támadások az USA-n belül és azon kívül is, többek között a Wolf Creek atomerőművet Kansas államban.

A Wolf Creek-i atomerőmű és az amerikai Energiaügyi minisztérium (Department of Energy, DoE) szerint a támadók "csak" a vállalati IT rendszerekig jutottak, az ipari rendszerekhez nem szereztek hozzáférést. Az FBI és a Belbiztonsági minisztérium közös jelentése szerint a támadók legalább május óta aktívan keresték a hozzáférési lehetőségeket az érintett szervezetek rendszereihez és a vizsgálat első eredményei alapján olyan technikákat használtak, amik a Crouching Yeti, az Energetic Bear és a Dragonfly néven ismertté vált csoportokhoz köthetik őket.

Az FBI/DHS jelentés szerint a támadók kártékony kóddal preparált Office dokumentumokat küldtek e-mail csatolmányként vezető beosztású mérnököknek a célba vett szervezeteknél, ezekkel akartak felhasználói azonosítókat és jelszavakat gyűjteni, amik hozzáférést biztosítanak az adott szervezet informatikai hálózatához. A jelentés szerint a támadók egyebek mellett watering-hole és közbeékelődéses módszereket is használtak.

A Talos munkatársainak elemzése szerint a támadásokhoz használt Word dokumentumok jellemzően önéletrajzoknak illetve környezettanulmányoknak látszanak és a megszokott módszerekkel ellentétben nem VBA makrókat vagy más scripteket használnak a malware célbajuttatására. Ezek helyett, ha a csali dokumentumot megnyitják, a Word megnyitása közben letölt egy template fájlt egy, a támadók által irányított Samba szerverről. Az így végrehajtott template injection támadással lehetővé válik a támadók számára, hogy Samba felhasználói adatokat gyűjtsenek.

A malware-t vizsgáló szakértők szerint a támadók célja az adatgyűjtés lehet és a hozzáférések gyűjtése jövőbeli, kritikus infrastruktúrákat vezérlő folyamatirányító rendszerek elleni támadás előkészítéseként.

Szólj hozzá!
kritikus infrastruktúra ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7212664353

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása